CNIL. 

COMMISSION NATIQNALE 
INFORMATIQUE & LIBERTIES 

Deliberation de la formation restreinte n° SAN - 2019-001 du 21 janvier 2019 
prononpant une sanction pecuniaire k 1'encontre de la societe GOOGLE LLC. 

La Commission nationale de 1’informatique et des libertes, reunie en sa formation restreinte 
compost de M. Jean-Franpois CARREZ, President, M. Alexandre LINDEN, Vice-president 
Mme Dominique CASTERA, Mme Marie-Helene MITJAVILE etM. Maurice RONAl’ 
membres; 


Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des 
personnes a l’egard du traitement automatise des donnees a caractere personnel; 

Vu le reglement (UE) 2016/679 du Parlement europeen et du Conseil du 27 avril 2016 relatif 
a la protection des donndes k caractere personnel et et la libre circulation de ces donnees ; 

Vu la loi n° 78-17 du 6 janvier 1978 modifiee relative a l'informatique, aux fichiers et aux 
libertes, notamment ses articles 45 et suivants; 


Vu le d6cret n° 2005-1309 du 20 octobre 2005 modifie pris pour l'application de la loi 
n° 78-17 du 6 janvier 1978 modiftee relative k l'informatique, aux fichiers et aux libertes; 

Vu la deliberation n° 2013-175 du 4 juillet 2013 portant adoption du rdglement int6rieur de la 
Commission nationale de l'informatique et des libertes ; 

Vu la decision n° 2018-199C du 20 septembre 2018 de la PrSsidente de la Commission 
nationale de 1 informatique et des libertes de charger le secretaire general de proceder ou de 
faire proceder a une mission de verification de tout traitement relatif a l’utilisation du systeme 
d’exploitation Android pour mobile multifonction incluant la creation d’un compte Google ; 

Vu la decision de la Presidente de la Commission nationale de l’informatique et des libertes 
portant designation d’un rapporteur devant la formation restreinte, en date du 2 octobre 2018 ; 

Vu le rapport de M. Franpois PELLEGRINI, commissaire rapporteur, du 22 octobre 2018 ; 

Vu les observations ecrites versees par la societe Google LLC. le 22 novembre 2018 ; 

Vu les observations en reponse du commissaire rapporteur du 7 decembre 2018 ; 

Vu les observations en reponse vers6es par la societe Google LLC. le 4 janvier 2019 ainsi que 
les observations orales formul6es lors de la s6ance de la formation restreinte ; 

Vu les autres pieces du dossier ; 


fetaient presents, lors de la seance de la formation restreinte du 15 janvier 2019 : 
- M. Franpois PELLEGRINI, commissaire, entendu en son rapport; 

En qualite de representants de la societe Google LLC.: 



REPUBLIQUE FRANCAISE. 
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Mme Eve JULLIEN, commissaire du Gouvemement, n’ayant pas formula d’observation ; 

La socidte ayant eu la parole en dernier; 

Apres en avoir deliberd, a adopts la decision suivante : 

I. Faits et procedure 

1. Fondde en 1998, la society Google LLC. (ci-apres « Google » ou «la socidte ») est une 
socidte i responsabilite limitee de droit amdricain dont le sidge social est situd 4 
Moutain View, en Califomie (Etats-Unis). 

2. Filiale a 100% de la socidtd ALPHABET depuis 2015, la socidtd a realisd un chiffre 
d’affaires de 109,7 milliards de dollars (soit environ 96 milliards d’euros) en 2017. Elle 
possede plus de 70 bureaux implantes dans une cinquantaine de pays et compte environ 
70 000 salaries a travers le monde. En France, elle dispose d’un etablissement, la 
socidtd Google France SARL, situde 8 rue de Londres a Paris (75009), qui compte 
environ 600 salarids et a realisd un chiffre d’affaires d’environ 325 millions d’euros en 
2017. 

3. Depuis qu elle existe, la socidtd a ddveloppd une pluralitd de services k destination des 
entreprises et des particulars (ex : le service de messagerie Gmail, le moteur de 
recherche Google Search, YouTube etc.). Elle a dgalement con?u le systeme 
d exploitation pour les terminaux mobiles Android qui comprend le magasin 
d’applications Google Play. La socidtd exerce en outre une activitd de regie 
publicitaire. 

4. En 2016, ce systdme d’exploitation comptait 27 millions d’utilisateurs en France. 

5. Les 25 et 28 mai 2018, la Commission nationale de l’informatique et des libertes (ci- 
apres «CNIL» ou «la Commission») a dtd saisie de deux plaintes collectives 
ddposdes en application de l’article 80 du rdglement (UE) 2016/679 du Parlement 
europeen et du Conseil du 27 avril 2016 (Rdglement gdndral sur la protection des 
donndes, ci-aprds « RGPD » ou « le Rdglement») respectivement par I’association 
None Of Your Business (ci-apres «NOYB ») et l’association La Quadrature du Net 
(ci-aprds « LQDN »). De manidre cumulde, ces plaintes regroupent les rdclamations de 
9974 personnes. 

6. Dans sa plainte, 1 association NOYB indique notamment que les utilisateurs de 
terminaux mobiles Android sont tenus d’accepter la politique de confidentialitd et les 
conditions gdndrales d’utilisation des services de Google et qu’& ddfaut d’une telle 
acceptation, ils ne pourraient utiliser leur ter minal 





7. L’association LQDN estime quant k elle, qu’independamment du terminal utilise, 
Google ne dispose pas de bases juridiques valables pour mettre en oeuvre les 
traitements de donnSes k caractdre personnel k des fins d’analyse comportementale et 
de ciblage publicitaire. 

8. Le l er juin 2018, la CNIL a soumis les plaintes pr£citees 4 ses homologues europeens 
via le systdme europecn d’echange d’information en vue de la designation d’une 
6ventuelle autorite chef de file conformement aux dispositions de 1’ article 56 du 
RGPD. 

9. En application de la decision n° 2018-199C du 20 septembre 2018 de la Pr6sidente de 
la Commission, un controle en ligne a 6t6 effectu6 le 21 septembre suivant afm de 
verifier la conformite de tout traitement relatif a l’utilisation du systeme d’exploitation 
Android pour equipement mobile, incluant la creation d’un compte Google, k la loi du 
6 janvier 1978 relative k l’informatique, aux fichiers et aux libertes (ci-apres «loi 
Informatique et Libertes » ou «loi du 6 janvier 1978 ») et au RGPD. 

10. Le proces-verbal de controle en ligne n° 2018-199/1 a ete notifie aux society 
GOOGLE LLC. et Google France SARL les 24 et 25 septembre 2018. 

11. Les deux societ6s ont egalement eu communication des plaintes susmentionn6es par 
courriers de la CNIL le 28 septembre 2018. 

12. Aux fins destruction de ces elements, la PrSsidente de la CNIL a d£signe, le 2 octobre 
2018, M. Francois PELLEGRINI en quality de rapporteur sur le fondement de Particle 
47 de la loi du 6 janvier 1978. 

13. A Tissue de son instruction, le rapporteur a fait notifier aux soci6tes Google LLC. et 
Google France SARL, le 22 octobre 2018, un rapport d£taillant des manquements 
relatifs aux articles 6,12 et 13 du RGPD qu’il estimait constitutes en Tespece. 

14. Ce rapport proposait k la formation restreinte de la CNIL de prononcer k l’encontre de 
la societe Google LLC. une sanction p6cuniaire de 50 millions d’euros, rendue 
publique. II 6tait 6galement propose son insertion dans une publication, journal ou 
support que la formation restreinte d6signerait. 

15. Etait egalement jointe au rapport une convocation a la seance de la formation restreinte 
du 10 janvier 2019. L’organisme disposait d’un delai d’un mois pour communiquer ses 
observations ecrites. 

16. Par lettre du 7 novembre 2018, la soci6te a demand^ une audition au rapporteur, a 
laquelle il n’a pas dtd fait droit par courrier du 13 novembre 2018. A la meme date, la 
society a 6galement formula une demande de huis-clos et de report de seance, k 
laquelle il n’a pas ete fait droit, par courrier du 15 novembre 2018. 

17. Le 22 novembre 2018, la socidte a produit des observations ecrites sur le rapport. Ces 
observations ont fait l’objet d’une rSponse du rapporteur le 7 dScembre 2018. 
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18. Par lettre du 11 decembre 2018, la societe, qui disposait de quinze jours a compter de la 
reception de la reponse du rapporteur, a sollicitd de la part du President de la formation 
restreinte le report de la seance ainsi qu’une extension du delai pour produire ses 
nouvelles observations. La demande a dtd acceptee par le President de la formation 
restreinte le 13 decembre 2018, qui a decide, d’une part, de repousser de deux semaines 
- jusqu’au 7 janvier - le ddlai de production de ces observations et, d’autre part, de 
reporter la stance au 15 janvier 2019. 

19. Le 4 janvier 2019, la society a produit de nouvelles observations en rdponse k celles du 
rapporteur. 

20. L’ensemble des observations a dt6 rditere oralement par la societe et le rapporteur lors 
de la seance de la formation restreinte du 15 janvier 2019. 

II. Motifs de la decision 

1. Sur la competence de la CNIL 

21. L’article 55 paragraphe 1 du RGPD dispose : « Chaque autorite de contrdle est 
competente pour exercer les missions et les pouvoirs dont elle est investie 
conformement au present reglement sur le territoire de VEtat membre dont elle 
releve ». 

22. L’article 56 paragraphe 1 du RGPD dispose : « Sans prejudice de I'article 55, Vautorite 
de contrdle de I'etablissement principal ou de I'etablissement unique du responsable du 
traitement ou du sous-traitant est compdtentepour agir en tant qu'autoriti de contrdle 
chef de file concemant le traitement transfrontalier effectue par ce responsable du 
traitement ou ce sous-traitant, conformement a la procedure prevue h I’article 60 ». 

23. La society soutient tout d’abord que la CNIL n’est pas competente pour mener cette 
procedure et qu’elle aurait du transmettre les plaintes repues a 1’autoritd de protection 
des donnees irlandaise {Data Protection Commission, ci-apres « DPC ») k laquelle il 
appartiendrait, en tant qu’autorite chef de file de Google, de traiter ces plaintes portant 
sur des traitements transfrontaliers, et ce conformement a la procedure de cooperation 
etablie k I’article 60 du RGPD. La societe considere en effet que la societe Google 
Ireland Limited doit etre consid6r6e comme son etablissement principal au sein de 
l’Union europdenne pour certains des traitements transfrontaliers qu’elle met en oeuvre, 
et notamment ceux objets des plaintes repues par la CNIL. Par consequent, l’autorite de 
protection des donnees devrait selon elle etre regardde comme son autorite de controle 
chef de file et etre chargee, k ce titre, de traiter les plaintes repues par la CNIL. 

24. Pour attester du fait que la societe Google Ireland Limited constitue son etablissement 
principal au sein de 1’Union, elle precise que cette societe est le siege social de Google 
pour ses operations europdennes depuis 2003 et qu’elle est l’entitd en charge de 
plusieurs fonctions organisationnelles ndcessaires k la realisation de ces operations 
pour la zone Europe, Moyen-Orient et Afrique (secretariat gdndral, fiscalitd, 
comptabilite, audit interne, etc.). Elle indique dgalement que la conclusion de 
rintdgralite des contrats de vente de publicitds avec les clients bases dans l’Union 
europdenne releve de cette socidtd. Cette socidtd emploie plus de 3 600 salaries et 
dispose, entre autres, d’une dquipe dddide en charge de la gestion des demandes faites 
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au sein de l’Union europ6enne en lien avec la confidentiality et d’un responsable 
charge de la protection de la vie privye. Elle precise enfin qu’une ^organisation tant 
operationnelle qu’organisationnelle est en cours cn vue de faire de la sociyte Google 
Ireland Limited le responsable de traitement pour certains traitements de donn6es a 
caractyre personnel concemant les ressortissants europyens. 

25. Elle considyre ygalement que la dyfinition d’ytablissement principal doit etre distinguee 
de celle de responsable de traitement et que si le legislateur europeen avait voulu que la 
notion d’ytablissement principal soit interprytye comme le lieu ou les dycisions 
concemant les traitements sont prises, il l’aurait expressyment indiquy. 

26. Elle considere ensuite que, compte tenu de la nature transfrontaliyre des traitements de 
personnalisation de la publicity, du nombre significatif d’utilisateurs d’Android en 
Europe et des questions soulevyes en lien avec ces traitements, les mecanismes de 
coopyration et de coherence tels que prevus aux articles 60, 64 et 65 du RGPD auraient 
du s’appliquer. Elle precise notamment que le Comity europyen de la protection des 
donnyes (ci-aprys « CEPD ») aurait du etre saisi en cas de doute sur la dytermination de 
l’autority chef de file. 

27. Enfin. la sociyte estime que les discussions informelles qui ont pu avoir lieu entre les 
autres autoritys europyennes de controle sur cette procydure sont sans effet juridique 
dys lors qu’elles ont eu lieu sans sa prysence. 

a) Sur la quality d’ytablissement principal de la sociyty Google Ireland 
Limited 

28. L’article 4 (16) du RGPD dyfinit la notion d’ytablissement principal de la maniere 
suivante : « a) en ce qui concerne un responsable du traitement itabli dans plusieurs 
Etats membres, le lieu de son administration centrale dans I'Union, a moins que les 
decisions quant aux finalitis et aux moyens du traitement de donnees a caractere 
personnel soient prises dans un autre itablissement du responsable du traitement dans 
I'Union et que ce dernier etablissement a le pouvoir de faire appliquer ces decisions, 
auquel cas Vitablissement ayant pris de telles decisions est considiri comme 
l'etablissement principal ». 

29. Le considyrant 36 du RGPD precise quant h lui : « Vetablissement principal d'un 
responsable du traitement dans I'Union devrait etre determini enfonction de criteres 
objectifs et devrait supposer I'exercice effectif et riel d'activitis de gestion diterminant 
les dicisions principales quant aux finalitis et aux moyens du traitement dans le cadre 
d'un dispositif stable ». 

30. La formation restreinte considyre qu’il rysulte de ces dispositions que, pour pouvoir 
etre qualifiy d’ytablissement principal, l’ytablissement concerne doit disposer d’un 
pouvoir de decision vis-^-vis des traitements de donnees a caractyre personnel en 
cause. La quality d’etablissement principal suppose en effet I’exercice effectif et reel 
« d'activitis de gestion diterminant les dicisions principales quant aux finalitis et aux 
moyens du traitement ». 
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31. D£s lors, l’existence d’un ytablissement principal s’apprecie in concreto, au regard de 
criteres objectifs, et l’etablissement principal ne saurait correspondre automatiquement 
au sifege social du responsable de traitement en Europe. 

32. La formation restreinte releve que cette analyse est egalement celle retenue par 
1’ensemble des autorites europeennes de controle, comme en attestent les lignes 
directrices du CEPD du 5 avril 2017 concemant la designation d’une autorite de 
controle chef de file d’un responsable de traitement ou d’un sous-traitant (WP244). Ces 
dernieres indiquent que « l’administration centrale est le lieu ou sont prises les 
decisions quant aux finalites et aux moyens du traitement de donates a caractkre 
personnel, et ce lieu a le pouvoir de faire appliquer ces dicisions ». 

33. La formation restreinte relive en outre que ces memes lignes directrices indiquent que : 
« Le rkglement general n ’autorisepas Vilection de juridiction («forum shopping»)(...). 
Les conclusions ne peuvent reposer exclusivement sur des declarations de 
l'organisation considirie ». 

34. II convient ainsi d’appr6cier les pouvoirs decisionnels dont dispose la soci6te Google 
Ireland Limited pour d6terminer si elle peut etre qualifiee d’etablissement principal. 

35. A cet egard, la formation restreinte releve que la soci6t6 Google Ireland Limited 
dispose certes de nombreux moyens financiers et humains qui permettent la foumiture 
effective de services par Google en Europe, notamment par le biais de la vente de 
prestations publicitaires. 

36. Toutefois, si ces e!6ments attestent de cette participation, la formation restreinte 
considere qu’ils ne permettent pas d’emporter la qualification de la socidte Google 
Ireland Limited en tant qu’ytablissement principal. Les el6ments foumis ne demontrent 
pas par eux-memes que la soci6t6 Google Ireland Limited aurait dispose, a la date 
d’engagement des poursuites, d’un quelconque pouvoir d6cisionnel quant aux finalitds 
et aux moyens des traitements couverts par la politique de confidentiality presentde a 
l’utilisateur lors de la creation de son compte, k l’occasion de la configuration de son 
telephone mobile sous Android. Ces 616ments r6v61ent seulement l’implication de cette 
entite dans le cadre de differentes activites de la societe (activity fmancieres et 
comptables, vente d’espaces publicitaires, passation de contrats etc.). 

37. La formation restreinte relive par ailleurs que la society Google Ireland Limited n’est 
pas mentionn6e dans les « Regies de confidentiality » de la soci6t6 en date du 25 mai 
2018 comme etant 1’entity oh sont prises les decisions principals quant aux fmalites et 
aux moyens des traitements couverts par la politique de confidentiality presentee a 
l’utilisateur lors de la cr6ation de son compte, k l’occasion de la configuration de son 
telephone mobile sous Android. 

38. Elle souligne 6galement que la societe Google Ireland Limited n’a pas designe de 
delegue a la protection des donnees qui serait en charge des traitements de donn£es k 
caractere personnel qu’elle pourrait mettre en oeuvre dans l’Union europ6enne. Elle 
relive en outre que le systSme d’exploitation Android est developp6 uniquement par la 
soci6t6 Google LLC. 
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39. Enfin, la formation restreinte reiyve que la soci6t6 a elle-meme indiqu6, par courrier en 
date du 3 dScembre 2018 adresse k la DPC, que le «transfert de responsabilitd » de 
Google LLC. vers la soci6t6 Google Ireland Limited sur certains traitements de 
donnees k caract&re personnel concemant les ressortissants europeens serait finalist le 
31 janvier 2019. Elle a ult6rieurement precise procdder k la mise a jour de ses regies de 
confidentiality qui entreront en application le 22 janvier 2019. 

40. Au vu de I’ensemble de ces elements, la formation restreinte considere que la 
society Google Ireland Limited ne peut etre consid6ree comme l’« etablissement 
principal» de la society Google LLC. en Europe au sens de Particle 4 (16) du 
RGPD, d£s lors qu’il n’est pas ytabli qu’elle dispose d’un pouvoir dycisionnel 
quant aux traitements couverts par la politique de confidentiality presentee a 
l’utilisateur lors de la elation de son compte a Poccasion de la configuration de 
son tyiephone mobile sous Android. 

41. En l’absence d’ytablissement principal permettant l’identification d’une autorite 
chef de file, la CNIL etait compytente pour engager cette procydure et pour 
exercer l’ensemble de ses pouvoirs au titre de Particle 58 du RGPD. 

b) Sur Papplication des procydures de coopyration et de cohyrence 

42. En premier lieu, la sociyty soutient que la CNIL aurait dfi saisir le CEPD en raison de 
1’incertitude quant a l’identification de l’autority de controle devant agir en quality 
d’autority chef de file. 

43. La formation restreinte considyre tout d’abord que l’absence d’ytablissement principal 
d’un responsable de traitement au sein de l’Union europyenne n’engendre pas par elle- 
meme d’incertitude sur l’identification d’une autorite de controle pouvant agir en 
quality d’autority chef de file. II rysulte seulement de cette absence d’ytablissement 
principal que l’identification d’une autority chef de file n’a pas lieu d’etre, et que le 
mycanisme de guichet unique n’a pas vocation k s’appliquer. 

44. La formation restreinte reiyve ensuite que la CNIL a immydiatement communique les 
ryclamations revues k I’ensemble des autoritys de controle, via le systyme europeen 
d’yehange d’information, en vue de l’identification d’une yventuelle autority chef de 
file, conformyment aux dispositions de Particle 56 du RGPD. 

45. La formation restreinte note que, dans le cadre de cette procydure, aucune autority de 
controle, ni le President du Comite, n’ont jugy nycessaire de saisir le CEPD en raison 
d’incertitudes sur P identification de P autority chef de file ou la compytence de la 
CNIL. 

46. Elle observe en outre que l’analyse concluant k l’absence d’ytablissement principal de 
la society Google LLC. en Europe pour les traitements vises par les plaintes, et 
P absence d’autority chef de file qui en resulte, 6tait partag6e par la DPC. 

47. Elle reiyve ainsi que la DPC a publiquement affirmy le 27 aout 2018 - dans un article 
de presse de l’lrish Times - qu’elle n’ytait pas l’autority chef de file pour les 
traitements qui pouvaient 6tre mis en oeuvre par la soci6ty : « la Commission de 
protection des donnees n 'est pas le "principal regulateur" de Google (ni, en termes de 
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protection des donnees, son "autoritd de controle chef de file") [...] Google LLC, 
societe americaine, est le responsable de traitement et Google ne peut absolument pas 
se prevaloir du mecanisme de guichet unique. [...]. La position actuelle est que Google 
est soumis au controle de toutes les autorites de controle europeennes [...] ». 

48. II ne rdsulte des lors pas de P instruction qu’il aurait existe des doutes ou des points de 
vue divergents au sein des autorites de controle de nature k imposer une saisine du 
CEPD, conform6ment a Particle 65 du RGPD. Par ailleurs, compte tenu des lignes 
directrices d6j& adoptees au niveau europeen pour guider les autorit6s nationales dans 
l’identification de P eventuelle autorite chef de file, il n’existait pas de question 
nouvelle justifiant la saisine du CEPD par la CNIL en application de Particle 64. 

49. Compte tenu de l’ensemble de ces elements, la formation restreinte considere que 
la CNIL n’gtait pas tenue de saisir le CEPD en vue de Identification d’une 
autorite chef de file. 

50. En second lieu, si la society soutient que la CNIL aurait du cooperer sur Pinstruction 
des plaintes et les suites qu’il convenait de leur apporter, la formation restreinte 
rappelle, ainsi qu’il a ete dit pr6cedemment, que la CNIL a communique, des leur 
reception, les reclamations k l’ensemble des autorites de controle de PUnion 
europeenne, via le systeme europeen d’echange d’information, en vue de 
Identification d’une eventuelle autorite chef de file. 

51. La formation restreinte releve ainsi qu’une procedure de cooperation a bien ete engag6e 
avec les autorit6s de controle, et ce conform6ment aux dispositions de Particle 56 du 
RGPD, dans un premier temps sur la seule question de P identification des competences 
respectives de ces autorites. 

52. La formation restreinte observe que cette etape de diffusion d’information et de 
determination d’une eventuelle autorite chef de file constitue un prealable a 
l’application eventuelle du mecanisme du guichet unique pr6vu a Particle 60 du RGPD. 

53. La formation releve ensuite que cette demarche et les 6changes qui en ont resulte 
n’ayant pas conduit k identifier un 6tablissement principal ni, par suite, une autorite 
chef de file, aucune autre obligation de cooperation ne s’imposait ult6rieurement a la 
CNIL, notamment au titre de Particle 60 du RGPD. 

54. La formation restreinte rappelle enfin que, dans un souci de coherence, conform6ment 
aux orientations rappel6es a Particle 63 du RGPD, la CNIL a informe et consulte ses 
homologues europeens a plusieurs reprises sur les investigations qu’elle a menees, et 
tenu le plus grand compte des lignes directrices adoptees par le CEPD en vue d’assurer 
une application uniforme du reglement. 

55. Compte tenu de ces elements, la formation restreinte considere que les 
procedures de cooperation et de coherence n’ont pas ete m6connues. 

56. Au demeurant. la formation restreinte relive que sauf dispositions expresses, ce qui 
n’est pas le cas en l’esp£ce concemant la determination de l’autorite chef de file, les 
autorites de contrfile ne sont pas tenues d’informer les responsables de traitement lors 
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de la mise en oeuvre d’actions de cooperation ni de les mettre a meme de participer aux 
echanges entre autorit6s. 

2. Sur la procedure 

57. En premier lieu, la soci£te soutient que la recevabilite des plaintes d6pos6es par les 
associations None Of Your Business et La Quadrature du Net n’est pas etablie. 

58. La formation restreinte considbre la question de la recevabilite des plaintes pr^citees 
n’a en tout etat de cause pas d’influence sur la 16galite de la pr6sente procedure, la 
saisine de la formation n’etant pas n£cessairement subordonnee 4 la reception d’une 
plainte et pouvant r6sulter d’une auto-saisine de la Commission sur la base des constats 
operas par les services de cette demiere. Elle rappelle que la CNIL a pour mission de 
controler l’application du reglement et de veiller au respect de celui-ci et qu’elle 
dispose, pour ce faire, du pouvoir d’effectuer des enquetes, conform6ment a Tarticle 57 
1. a) et h) du RGPD. 

59. Au demeurant, la formation restreinte note que l’article 80 du RGPD prevoit la 
possibility pour une personne de mandater « une association it but non lucratif, qui a 
6t6 valablement constitue[e] conformiment au droit d'un Etat membre, dont les 
objectifs statutaires sont d'intiret public et est acti[ve] dans le domaine de la 
protection des droits et libertes des personnes concernees dans le cadre de la 
protection des donates it caractere personnel» pour introduce une reclamation en leur 
nom. 


60. S’agissant de LQDN, la formation restreinte relive qu’il s’agit d’une association 
franfaise cr£6e le 3 janvier 2013. U ressort de ses statuts que cette association a 
notamment pour objet de mener des actions pour « assurer la defense des droits et 
libertesfondamentaux dans Vespace numerique [...] ». 

61. S’agissant de NOYB, elle releve qu’il s’agit d’une association a but non lucratif 
valablement constitute sur le territoire autrichien depuis 12 juin 2017. II ressort de ses 
statuts que son objet est notamment de « representer les droits et les interets des 
utilisateurs dans le domaine numerique (notamment les droits des consommateurs, les 
droits fondamentaux de la vie privee, la protection des donnees, la liberte d 1 expression, 
la liberte d'information et le droit fondamental a un recours effectif). 

62. La formation releve egalement que ces deux associations ont re?u de la part des 
personnes les ayant saisies un mandat de representation au titre de l’article 80 du 
RGPD. 


63. En second lieu, la societe fait valoir que la procedure engagte a son encontre a 
meconnu son droit a un proces equitable tel que prtvu notamment 4 Particle 6 de la 
Convention de sauvegarde des droits de l’homme et des libertts fondamentales. 

64. Sur ce point, elle soutient d’une part, que le rapport proposant une sanction ainsi que 
les r6ponses apportees par le rapporteur a ses observations lui ont ete adressees 
uniquement en fran 9 ais et d’autre part, que le refus d’extension du deiai qui lui ete 
oppose pour produire ses premieres observations a limite le temps dont elle disposait 
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pour prdparer sa defense. Elle estime egalement que le report de seance ainsi que le 
d61ai supplementaire qui lui a finalement ete accord^ pour produire ses secondes 
observations n’6taient toujours pas suffisants. 

65. La formation restreinte releve tout d’abord que la notification d’un rapport de sanction 
en langue fran<?aise repond a l’obligation 16gale fixde k l’article 111-1 du code des 
relations entre le public et F administration qui prdvoit que « L'usage de la langue 
jranqaise est present dans les 4changes entre le public et Vadministration, 
conformiment aux dispositions de la loi n° 94-665 du 4 aout 1994 relative a Uemploi 
de la langue franqaise ». 

66. En outre, aucune disposition 16gale ou supra nationale n’impose k la CNIL de traduire 
les documents qu’elle produit. 

67. Au demeurant, la societe dispose d’un etablissement sur le territoire ffanfais, la societe 
Google France SARL. Cette societ6 compte plusieurs centaines de salari6s et s’est vue 
notifier l’ensemble des documents en lien avec la procedure. Elle reldve egalement que 
les principales pieces a l’appui de la procedure (« R4gles de confidentialite », 
«Conditions d’utilisation », etc.) 6taient les propres documents de la societe, 
disponibles par ailleurs en anglais sur d’autres supports. 

68. Au regard de ces elements, la formation restreinte considdre que la societe disposait en 
tout etat de cause de ressources materielles et humaines suffisantes lui permettant 
d’assurer une traduction des documents en anglais dans un delai suffisant pour en 
prendre connaissance et formuler ses observations dans le delai qui lui etait fix6. 

69. La formation restreinte rappelle ensuite que l’article 75 du decret n° 2005-1309 du 20 
octobre 2005 modifie prevoit que le responsable de traitement dispose d’un delai d’un 
mois pour formuler des observations en reponse au rapport qui lui a 6t6 adressd, puis 
d’un nouveau delai de quinze jours faisant suite au delai imparti au rapporteur pour 
apporter sa r6ponse. 

70. La formation restreinte souligne qu’il a et6 fait droit aux demandes formulas par la 
soci6t6 le 11 ddeembre 2018 visant a obtenir une extension de delai pour produire ses 
observations en r6ponse aux elements apport6s par le rapporteur et un report de seance. 
Ce report lui a permis de ben£ficier d’un delai supplementaire de quinze jours pour 
produire ses secondes observations par rapport au delai initialement pr6vu et preparer 
ainsi sa defense en vue de la stance de la formation restreinte. Elle a par ailleurs ete en 
mesure de presenter ses observations orales le jour de la stance de la formation 
restreinte en complement de ses productions 6crites. 


71. La formation restreinte rappelle enfin que les constatations de fait op6rees dans le cadre 
de la pr6sente procedure portaient essentiellement sur des documents institutionnels 
rediges par la soci6t6 elle-meme. 

72. Au regard de ces elements, la formation restreinte estime que les droits de la 
defense de la soci£t6 Google LLC. ont 6t£ garantis. 
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3. Sur le perimetre des investigations 

73. En defense, la socidtd soutient tout d’abord que le rapporteur a confondu le systeme 
d’exploitation Android et le compte Google alors qu’il s’agit de services distincts qui 
mettent en oeuvre des activites de traitements diffdrentes. 

74. Elle indique notamment que lors de la configuration de son appareil mobile sous 
Android, les utilisateurs ont clairement le choix de crder ou non un compte Google et 
que les « Regies de confidentialite » leur expliquent la maniere dont les services 
Google peuvent etre utilises avec ou sans compte Google (ex : visionnage de videos 
YouTube sans creation de compte etc.). 

75. Elle fait ensuite valoir que le perimetre du controle choisi par la CNIL - a savoir la 
creation d’un compte Google lors de la configuration d’un nouvel appareil utilisant le 
systdme d’exploitation Android - est limitd en ce qu’il reprdsente un cas de figure qui 
ne conceme que 7% des utilisateurs. 

76. Enfin. elle indique que les constatations ont 6te effectuees sur une ancienne version du 
systeme d’exploitation Android. 

77. Tout d’abord . la formation restreinte indique qu’elle ne remet pas en cause Texistence 
de services distincts, lids respectivement au systdme d’exploitation Android et au 
compte Google, mettant en oeuvre des activites de traitements diffdrentes. 

78. Elle observe cependant que les faits couverts par les investigations correspondent au 
scdnario retenu pour effectuer le controle en ligne, k savoir le parcours d’un utilisateur 
et les documents auxquels il pouvait avoir acces lors de la configuration initiale de son 
dquipement mobile utilisant le systdme d’exploitation Android. Ce parcours incluait la 
creation d’lm compte. Ces faits se rapportent done aux traitements couverts par la 
politique de confidentiality prdsentee d l’utilisateur lors de la erdation de son compte k 
l’occasion de la configuration de son tdldphone mobile sous Android. 

79. Ensuite, s’il est exact que l’utilisateur a effectivement le choix de crder un compte et a 
la possibility d’utiliser certains des services de la society sans avoir k creer un compte, 
elle constate toutefois que lors de la configuration d’un appareil sous Android, la 
possibility de creer un compte Google ou de se connecter a un compte deja existant 
apparait naturellement au ddbut du processus de parametrage, sans action spycifique de 
l’utilisateur. 

80. Celui-ci est par ailleurs invitd a creer ou a se connecter a un compte Google dans la 
mesure oil lorsqu’il clique sur les liens « en savoir plus » ou « ignorer » disponibles a 
cette dtape de configuration de Tappareil, il se voit prdsenter l’information suivante : 

« Votre appareil fonctionne mieux avec un compte Google », « Si vous n ’avez pas de 
compte Google, vous ne pourrez pas effectuer les actions suivantes [...] Activer les 
fonctionnalites de protection de Vappareil». 

81. La formation restreinte considdre ainsi que ce parcours, lors de la creation d’un 
compte, cree un continuum d’usage entre les traitements opdrds par le systdme 
d’exploitation et ceux operds au travers du compte Google, et justifie le sednario retenu 
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pour le controle en ligne. Cette succession des informations et choix presents a 
l’utilisateur ne fait toutefois pas obstacle k une analyse differenciee, au regard du cadre 
juridique, des differentes activites de traitement en cause sur la base de l’ensemble des 
faits constates dans le cadre de ce scenario de controle. 

82. En outre, s’agissant des observations formulees par la societe selon lesquelles ce cas de 
figure ne concemerait que 7% des utilisateurs - la plupart des utilisateurs d’un appareil 
fonctionnant sous Android se connectant k un compte preexistant - la formation 
restreinte rappelle qu’aux termes de 1’article 11.1.2 de la loi informatique et liberty, la 
CNIL dispose d’un large pouvoir d’apprdciation quant aux perim&tres des controles 
qu’elle peut entreprendre. Un scenario spScifique de controle, tel que celui retenu en 
l’espece, peut permettre d’operer des constatations traduisant une politique de 
confidentialite plus globale. 

83. Au demeurant, la formation restreinte releve que la society indique dans ses 
observations en date du 7 ddcembre 2018 que : « la portee du traitement des donnees 
a caractere personnel qui est effectui pour les detenteurs d'un Compte Google 
lorsqu'ils utilisent un appareil sous Android est en grande partie similaire au 
traitement qui se produit pour les detenteurs d’un Compte Google lorsqu'ils utilisent 
les services Google sur un ordinateur ou sur un appareil ne fonctionnant pas sous 
Android)) et que [..] «Presenter les memes Regies de confidentiality et Conditions 
d'Utilisation permet d’assurer une coherence et une connaissance des utilisateurs et, de 
maniere importante, fait office de rappel aux detenteurs de comptes existants de la 
nature de la collecte des donnees et des finalites de celle-ci». Des lors, les utilisateurs 
qui configureraient leur mobile sous Android en y associant un compte deja existant se 
trouvent, s’agissant de l’information qui leur est communique, dans une situation 
analogue aux utilisateurs qui proc6deraient k la creation d’un compte. 

84. Enfin, s’agissant de la version du syst&ne d’exploitation Android utilisee pour 
proceder aux constatations, la formation restreinte relive que 1’argument avanc6 par la 
societe est sans incidence dds lors qu’il ressort des pieces foumies par la societe que le 
parcours d’un utilisateur est similaire dans une version plus recente du systeme 
d’exploitation. 

85. Au demeurant, la formation restreinte relive que les statistiques de repartition de 
l’utilisation des versions successives du syst&ne d’exploitation Android, mises a 
disposition sur le site officiel des developpeurs Android 
(https://developer.android.com/about/dasbboards/) d6montrent que la version utilisee 
lors du controle fait partie des versions les plus utilisees (statistiques portant sur une 
periode d’une semaine d’octobre 2018 a partir des donnees de connexions des 
terminaux s’etant connectds au Google Play Store). 

4. Sur le manquement aux obligations de transparence et d’information 

86. Le 1. de l’article 12 du Riglement general sur la protection des donndes dispose : « 1. 
Le responsable du traitement prend des mesures appropriees pour fournir toute 
information visee aux articles 13 et 14 ainsi que pour proceder a toute communication 
au litre des articles 15 a 22 et de Varticle 34 en ce qui concerne le traitement a la 
personne concernee d'une fagon concise, transparente, comprehensible et aisement 
accessible, en des termes clairs et simples, en particulier pour toute information 
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destinee spicifiquement a un enfant. Les informations sont foumies par ecril ou par 
d'autres moyens y compris, lorsque c'est approprii, par voie ilectronique. Lorsque la 
personne concernie en fait la demande, les informations peuvent etre foumies 
oralement, ci condition que I'identiti de la personne concernie soit dimontree par 
d'autres moyens ». 

87. Le 1 de Particle 13 de ce meme texte prevoit que : « Lorsque des donnies a caractere 
personnel relatives a une personne concernie sont collecties aupris de cette personne, 
le responsable du traitement lui foumit, au moment ou les donnies en question sont 
obtenues, toutes les informations suivantes: 

a) I'identiti et les coordonnies du responsable du traitement et, le cas ichiant, du 
reprisentant du responsable du traitement; 

b) le cas ichiant, les coordonnies du diligui a la protection des donnies; 

c) les finalitis du traitement auquel sont destinies les donnies a caractere 
personnel ainsi que la base juridique du traitement ; 

d) lorsque le traitement est fondi sur Varticle 6, paragraphe 1, point f), les 
intirets ligitimes poursuivis par le responsable du traitement ou par un tiers; 

e) les destinataires ou les catigories de destinataires des donnies h caractere 
personnel, s'ils existent; et 

f) le cas ichiant, lefait que le responsable du traitement a I'intention d'effectuer 
un transfert de donnies a caractire personnel vers un pays tiers ou a une 
organisation Internationale, et Vexistence ou I'absence d'une decision 
d'adiquation rendue par la Commission ou, dans le cas des transferts visis a 
Varticle 46 ou 47, ou a Varticle 49, paragraphe 1, deuxieme alinia, la 
rifirence aux garanties appropriies ou adapties et les moyens d'en obtenir 
une copie ou Vendroit ou elles ont iti mises & disposition ; [...] ». 

88. Le rapporteur estime que les informations d£livr6es aux utilisateurs par la socidte ne 
repondent pas aux objectifs d’accessibilite, de clarte et de comprehension fix6s par 
Particle 12 et que certaines informations rendues obligatoires par Particle 13 ne sont 
pas foumies aux utilisateurs. 

89. En defense, la socidte considere que Pinformation qu’elle diffuse k ses utilisateurs 
r6pond aux exigences des articles 12 et 13 du RGPD. 

90. Elle estime tout d’abord que le document intitule « Rigles de confidentialiti et 
conditions d’utilisation », accessible lors de la creation d’un compte, constitue une 
information de premier niveau conforme aux lignes directrices du CEPD sur la 
transparence au sens du Riglement UE 2016/679 (WP260) du 25 mai 2018. Elle 
precise que ce document ofifre « une bonne vue d ’ensemble des traitements mis en 
oeuvre » et que la mention de la base juridique de ces traitements n’a pas k figurer dans 
ce premier niveau d’information. Les informations concemant la diuie de conservation 
des donnees figurent quant a elles dans la rubrique «Exporter et supprimer vos 
informations » au sein des « Rigles de confidentialiti ». 

91. La societe fait ensuite valoir que Pinformation des personnes doit, au regard des 
articles 12 et 13 du Riglement, s’apprecier de fa?on globale. Elle expose k. ce titre que 
Pinformation qu’elle ddlivre s’opdre 6galement, en complement des documents 
intitules « Regies de confidentialiti et conditions d’utilisation », «Regies de 
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confidentialite » et «Conditions d’utilisation », par le biais de plusieurs autres 

modalit6s. Elle explique que des messages d’informations additionnelles peuvent 
apparaitre lors de la creation d’un compte sous chacun des parametres de 

confidentialite. Par ailleurs un message £lectronique est adresse a Putilisateur au 

moment de la creation de son compte indiquant notamment que : « Vo us pouvez a tout 
moment modifier les parametres de confidentialite et de security de votre compte 
Google, creer des rappels pour vous souvenir de verifier vos parametres de 

confidentialite ou proceder a une verification de vos parametres de securite». Ce 
message electronique contient des liens cliquables renvoyant & diff&rents outils de 
parametrage. 


92. Ces autres outils de controle, qui sont mis a la disposition de Putilisateur 
post&rieurement k la creation de son compte a partir de 1’interface de gestion de son 
compte comportent par exemple un outil intitule « check-up confidentialite » qui 
permet aux utilisateurs de choisir les reglages de confidentialite qui leur conviennent, y 
compris en matiere d’annonces personnalisees, d’historique des positions, d’activite sur 
le Web et d’applications. 

93. La society met aussi en avant un outil « Dashboard» qui permet aux utilisateurs 
d’avoir une vision d’ensemble de Futilisation qu’ils font des services proposes par 
Google tels que Gmail ou Youtube. 


94. Enfin, la society rappelle que lorsqu’un utilisateur a cliquy sur « Creer un compte » 
sans avoir d6sactive les parametres relatifs aux annonces personnalisees, une fenetre 
pop-up de confirmation de creation de compte s’affiche pour rappeler que le compte est 
configure pour inclure des fonctionnalitds de personnalisation. La societe indique que 
le parcours utilisateur est ainsi configure pour ralentir la progression des utilisateurs qui 
n’auraient pas fait spontan6ment le choix de parametres plus protecteurs de la vie 
privee. 


95. Au prealable, la formation restreinte prend acte des progres realises ces demieres 
annees par la societe dans sa politique d’information des utilisateurs, Hans le sens de la 
plus grande transparence et d’une maitrise renforcee sur leurs donnees attendues par 
ceux-ci. Pour les raisons qui suivent toutefois, elle estime que les exigences du RGPD, 
dont la mise en oeuvre doit etre appr6ci6e k l’aune de la portee concrete des traitements 
de donnees a caractere personnel en cause, ne sont pas respectees. 


96. En premier lieu, la formation restreinte rappelle qu’en application des dispositions de 
Particle 12 du Riglement, les informations doivent etre foumies de fa?on « aisement 
accessible ». Cette exigence d’accessibility est 6clairee par les lignes directrices sur la 
transparence, dans lesquelles le CEPD a consider^ qu’« Un aspect primordial du 
principe de transparence mis en lumiere dans ces dispositions est que la personne 
concemee devrait etre en mesure de determiner a I’avance ce que la portee et les 
consiquences du traitement englobent afin de ne pas etre prise au depourvu a un stade 
ulterieur quant a la /agon dont ses donnees a caractere personnel ont ete utilisees. [...] 
Plus particulierement, en ce qui concerne les traitements de donnees complexes, 
techniques ou non prevus, la position du G29 est que les responsables du traitement 
devraient [...] definir separement et de fagon claire les principales consequences du 
traitement: autrement dit, que1 sera reellement Veffet du traitement spicifique decrit 
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dans une declaration ou un avis sur la protection de la vie privee pour la personne 
concernee ». La formation restreinte rappelle en outre que l’obligation d’accessibility 
pos6e par 1’article 12 repose en partie sur les choix ergonomiques faits par le 
responsable du traitement. 


97. En l’espyce, la formation restreinte constate que rarchitecture gendrale de 
l’information choisie par la society ne permet pas de respecter les obligations du 
Riglement. En effet, les informations qui doivent Stre communiquyes aux personnes 
en application de l’article 13 sont excessivement eparpiliyes dans plusieurs 
documents : « Regies de confidentiality et conditions d’utilisation », affichy au cours 
de la creation du compte, puis «Conditions d’utilisation » et «Regies de 
confidentiality» qui sont accessibles dans un deuxiyme temps au moyen de liens 
cliquables figurant sur le premier document. Ces diffyrents documents comportent des 
boutons et liens qu’il est nycessaire d’activer pour prendre connaissance 
d’informations compiymentaires. Un tel choix ergonomique entraine une 
fragmentation des informations obligeant ainsi 1’utilisateur £ multiplier les dies 
nycessaires pour accyder aux differents documents. Celui-ci doit ensuite consulter 
attentivement une grande quantity d’informations avant de pouvoir identifier le ou les 
paragraphes pertinents. Le travail foumi par l’utilisateur ne s’arrete toutefois pas la 
puisqu'il devra encore recouper et comparer les informations collectyes afin de 
comprendre quelles donnees sont collectees en fonction des diffyrents paramytrages 
qu’il aura pu choisir. 


98. La formation restreinte reiyve que, compte tenu de cette architecture, certaines 
informations sont difficilement trouvables. 

99. Par exemple, s’agissant des traitements de personnalisation de la publicity, pour 
connaitre les informations qui sont collectyes auprys de lui pour cette final ity un 
utilisateur doit accomplir de nombreuses actions et combiner plusieurs ressources 
documentaires. Dans un premier temps, il doit prendre connaissance du document 
gynyral « Rbgles de confidentiality et conditions d’utilisation », puis cliquer sur le 
bouton « Plus d ’options » et ensuite sur le lien « En savoir plus » pour que soit 
affichye la page « Personnalisation des annonces ». II aura ainsi acces a une premiyre 
description du traitement relatif & la personnalisation de la publicity qui s’avyre etre 
incompiyte. Pour compiyter l’information relative aux donnyes traityes dans le cadre de 
cette finality, l’utilisateur devra encore consulter dans son intygrality la rubrique 
«proposer des services personnalisys» contenue dans le document «Regies de 
confidentiality», lui-myme accessible depuis le document gynyral « Rigles de 
confidentiality et conditions d’utilisation ». 

100. De meme, en mature de traitement des donnyes de gyolocalisation, la formation 
restreinte reiyve qu’un meme parcours dynuy de tout caractyre intuitif est requis de 
l’utilisateur s’agissant des informations relatives aux donnyes de gyolocalisation. Celui- 
ci devra en effet accomplir les ytapes suivantes: Consulter les «Regies de 
confidentiality et conditions d’utilisation », cliquer sur « Plus d’options » puis sur le 
lien « En savoir plus » pour que soit affichye la page « Historique des positions » et 
prendre connaissance du texte affichy. Ce texte ne constituant toutefois qu’une courte 
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description du traitement, l’utilisateur devra, pour acceder au reste des informations, 
retoumer au document «Ragles de confidentiality» et consulter la rubrique 
«Informations relatives a votre position geographique». L’information ne sera 
toujours pas complete puisque cette rubrique contient plusieurs liens cliquables relatifs 
aux differentes sources utilises pour le gdolocaliser. 

101. Dans les deux cas de figures decrits, cinq actions sont necessaires i 1’utilisateur pour 
acceder a 1’information relative k la personnalisation des annonces et six en ce qui 
conceme la gSolocalisation. 

102. La formation restreinte releve encore que si l’utilisateur souhaite disposer 
d’information sur les durees de conservation de ses donnees personnelles, il doit tout 
d’abord consulter les « Regies de confidentiality » qui se trouvent dans le document 
principal, puis se rendre dans la rubrique intitule « Exporter et supprimer vos 
informations » et enfin cliquer sur le lien hypertexte « cliquer ici» contenu dans un 
paragraphe general sur les durees de conservations. Ce n’est done qu’au bout de quatre 
dies que l’utilisateur accede a cette information. La formation restreinte constate au 
demeurant que le titre choisi par la society pour « Exporter et supprimer vos 
informations » ne permet pas facilement a l’utilisateur de comprendre qu’il s’agit d’une 
rubrique permettant d’acc6der aux informations relatives aux durdes de conservation. 
Dds lors, la formation restreinte estime dans ce cas de figure que la multiplication des 
actions necessaires, combinde a un choix de titres non explicites ne satisfait pas aux 
exigences de transparence et d’accessibility de l’information. 

103. II resulte de 1’ensemble de ces elements un ddfaut global d’accessibilite des 
informations delivrees par la societe dans le cadre des traitements en cause. 

104. En deuxieme lie u, la formation restreinte considdre que le caractere «clair» et 
« comprdhensible » des informations ddlivrees, exige par l’article 12 du RGPD, doit 
s’apprecier en tenant compte de la nature de chaque traitement en cause et de son 
impact concret sur les personnes concemees. 

105. Au nrealable, il est essentiel de souligner que les traitements de donnees mis en 
ceuvre par le responsable de traitement sont particulierement massifs et intrusifs. 

106. Les donnees collectees par Google proviennent de sources extremement variees. Ces 
donndes sont collectdes k la fois a partir de l’utilisation du telephone, de l’utilisation 
des services de la societe, tels que le service de messagerie Gmail ou la plateforme de 
videos Youtube, mais aussi a partir des donndes generees par Pactivite des utilisateurs 
lorsqu’ils se rendent sur des sites tiers utilisant les services Google grace notamment 
aux cookies Google analytics ddposds sur ces sites. 


107. A ce titre, les « Regies de confidentiality » laissent apparaitre qu’au moins vingt 
services proposes par la socidtd sont susceptibles d’etre impliques dans les traitements, 
pouvant concemer des donn6es telles que 1'historique de navigation web, l'historique 
d'usage des applications, les donnees stockees localement sur I'equipement (telles que 
les carnets d'adresses), la geolocalisation de l'dquipement, etc. Des lors, un grand 
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nombre de donnees est traite dans le cadre de ces services via ou en lien avec le 
systdme d’exploitation Android. 

108. II ressort de I’instruction du dossier qu’outre les donnees de sources extemes, la 
societe traite au moins trois categories de donnees : 


- des donnees « produites » par la personne (par exemple, son nom, son mot 
de passe, son numero de telephone, son adresse courriel, un moyen de 
paiement, des contenus crees, importes ou re$us, tels que des 6crits, des 
photos ou des videos); 

des donnees gener6es par son activite (par exemple, l’adresse IP, des 
identifiants uniques de l’utilisateur, les donnees de r6seau mobile, les 
donnees li6es aux reseaux sans fil et aux appareils Bluetooth, l’horodatage 
des actions effectuees, les donnees de geolocalisation, les donnees 
techniques des appareils utilises y compris les donnees relatives aux 
capteurs (acc6ierometre, etc.), les videos vues, les recherches effectuees, 
Thistorique de navigation, les achats, les applications utilisees, etc.; 

des donnees d6rivees ou inf£rees a partir des donn6es foumies par cette 
personne ou son activite. S’agissant de cette categorie, les «Rkgles de 
confidentialite » listent un certain nombre de finalit6s qui ne peuvent etre 
accomplies qu’en g6n6rant des donn6es k partir des deux autres categories 
de donnees. Ainsi, la personnalisation des annonces que la soci6te realise 
necessite d’inferer les centres d’int6ret des utilisateurs a partir de leur 
activite afin de pouvoir proposer ceux-ci aux annonceurs. De la meme 
maniere, les fmalites de foumiture de contenus, de recherches et de 
recommandations personnalises n6cessitent d’inf6rer de nouvelles 
informations k partir de celles d6clarees, produites ou generees par 
1’activite de la personne. 

109. Par ailleurs, si le tres grand nombre de donnees trait6es permet de caracteriser a lui 
seul le caractere massif et intrusif des traitements opdres, la nature meme de certaines 
des donnees decrites, telles que les donnees de geolocalisation ou les contenus 
consultes, renforce ce constat. Consider6e isol6ment, la collecte de chacune de ces 
donnees est susceptible de reveler avec un degr6 de precision important de nombreux 
aspects parmi les plus intimes de la vie des personnes, dont leurs habitudes de vie, leurs 
gouts, leurs contacts, leurs opinions ou encore leurs d6placements. Le resultat de la 
combinaison entre elles de ces donnees renforce considerablement le caractere massif 
et intrusif des traitements dont il est question. 

110. En consequence, c’est k la lumiere des caracteristiques particulieres de ces 
traitements de donnees k caractere personnel qui viennent d’etre rappeiees que les 
caracteres «clair» et «comprehensible», au sens de 1’article 12 du RGPD, des 
informations prevues a Particle 13 du Reglement, doivent etre applies. La formation 
restreinte considere que ces exigences ne sont, en l’espece, pas respectees. 
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111. Concretement, la formation restreinte relive que les informations ddlivrees par la 
socidtd ne permettent pas aux utilisateurs de comprendre suffisamment les 
consequences particulieres des traitements k leur egard. 

112. En effet, les finalites annoncees dans les differents documents sont ainsi ddcrites : « 
proposer des services personnalises en matidre de contenu et d’annonces, assurer la 
security des produits et services, foumir et divelopper des services, etc. ». Elies sont 
trop gendriques au regard de la portde des traitements mis en oeuvre et de leurs 
consequences. C’est dgalement le cas lorsqu’il est indique aux utilisateurs de manidre 
trop vague : « Les informations que nous collectons servent a ameliorer les services 
proposes a tous nos utilisateurs. [...] Les informations que nous collectons et I'usage 
que nous en faisons dependent de la maniere dont vous utilisez nos services et dont 
vous gerez vos paramktres de confidentiality ». 

113. La formation restreinte relive, par suite, que la description des finalitds poursuivies 
ne permet pas aux utilisateurs de mesurer l’ampleur des traitements et le degr6 
d’intrusion dans leur vie privde qu’ils sont susceptibles d’emporter. Elle estime, en 
particular, qu’une telle information n’est pas apportde de maniere claire, ni au premier 
niveau d’information foumi aux utilisateurs par le biais, en l’espdce, du document 
intitule « Regies de confidentiality et conditions d ’utilisation », ni dans les autres 
niveaux d’information proposes par la socidte. 

114. La formation restreinte constate en outre que la description des donnees collectdes, 
qui pourrait etre de nature k dclairer la portde de ces finalitds et a eviter que l’utilisateur 
soit pris ultdrieurement au depourvu quant k la fa 9 on dont ses donnees ont dtd utilisdes 
et combindes, est particulierement imprdcise et incompldte, tant a l’analyse du premier 
niveau d’information que de celle des autres documents foumis. 

115. Ainsi, le document « Regies de confidentiality et conditions d'utilisation » ainsi que 
le document intituld « Regies de confidentiality » prdcisent: «J1 peut s'agir 
d informations (...) plus complexes, comme les annonces que vous trouvez les plus 
utiles, les personnes qui vous intyressent le plus sur le Web ou les videos YouTube qui 
sont susceptibles de vous plaire ». 

116. Au regard de ce qui precdde, la formation restreinte estime que l’utilisateur n’est pas 
en mesure, en particulier en prenant connaissance du premier niveau d’information qui 
lui est prdsentd dans les « Regies de confidentiality et conditions d'utilisation », de 
mesurer la portde des principaux traitements sur sa vie privde. Si elle prend acte de ce 
qu’une information exhaustive, dds le premier niveau, serait contreproductive et ne 
respecterait pas l’exigence de transparence, elle estime que celui-ci devrait contenir des 
termes de nature a objectiver le nombre et la portde des traitements mis en oeuvre. Elle 
considdre en outre qu’il serait possible, par d’autres types de modalitds de prdsentation 
adaptdes k des services de combinaison de donndes, de foumir dds le stade des « Regies 
de confidentiality » une vision d’ensemble des caractdristiques de cette combinaison en 
fonction des finalitds poursuivies. 


117. Le constat du ddfaut de «clarte» et de caractdre «comprehensible » doit 6tre 
dgalement fait s’agissant de la mention de la base juridique des traitements de 
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personnalisation de la publicity. En effet, la socidtd indique tout d’abord dans les « 
Regies de Confidentiality » : « Nous vous demandons Valorisation de trailer vos 
informations & des fins spicifiques, et vous etes libre de revenir sur votre consentement 
a tout moment. Par exemple, nous vous demandons I'autorisation de vous foumir des 
services personnalises, tels que des armonces [...] ». La base juridique retenue ici 
apparait done dtre le consentement. Toutefois, la socidtd ajoute plus loin se fonder sur 
l’interet ldgitime, notamment pour « mener des actions de marketing en vue de faire 
connaitre nos services aupres des utilisateurs » et surtout « avoir recours a la publicity 
afin de rendre un grand nombre de nos services disponibles gratuitement pour les 
utilisateurs. » 

118. La formation restreinte souligne que si devant elle, la socidte a indiqud que la seule 
base juridique sur laquelle repose le traitement relatif k la publicity personnalisee est le 
consentement, il ressort de l’instruction que cette clarification n’est pas portde k la 
connaissance des utilisateurs. Les formulations rappeldes ci-dessus ne permettent pas a 
ces demiers de mesurer clairement la distinction entre la publicite proprement 
personnalisee, a partir de la combinaison de multiples donndes relatives a l’utilisateur, 
qui repose d’apres les dires de la socidtd sur le consentement, d’autres formes de 
ciblage utilisant par exemple le contexte de navigation, fonddes sur l’intdret legitime. 
La formation restreinte souligne 1’ importance particulidre de 1’exigence de clarte 
s’agissant de ces traitements, compte tenu de leur place dans les traitements mis en 
oeuvre par la socidtd et de leur impact sur les personnes dans l’dconomie numerique. 


119. S’agissant de l’information relative aux durees de conservation, la formation 
restreinte reldve que la page « Comment les informations collectees par Google sont- 
elles conservees » comporte quatre catdgories : 

(i) «Informations conservyes jusqu'a ce que vous les supprimiez »; 

(ii) «Informations assorties d'un delai d'expiration » ; 

(iii) «Informations conservees jusqu'a la suppression de votre compte 
Google »; 

(iv) « Informations conservees pendant de longues piriodes pour des 
raisons prydses ». 

120. Elle constate ndanmoins que s’agissant de la demidre catdgorie, seules des 
explications trds gdndrales sur la finalitd de cette conservation sont foumies et aucune 
durde prdcise ni les critdres utilisds pour ddterminer cette durde ne sont indiquds. Or 
cette information figure parmi celles devant etre obligatoirement delivrees aux 
personnes en application du a) du °2 de 1’article 13 du Rdglement. 

121. En dernier lieu, si la socidtd fait valoir que de multiples outils d’information sont mis 
a la disposition des utilisateurs concomitamment et apres la erdation de leur compte, la 
formation restreinte reldve que ces modalitds ne permettent pas d’atteindre les 
exigences de transparence et d’information issues des articles 12 et 13 du RGPD. 

122. Tout d’abord, la formation restreinte reldve que les outils auxquels la socidtd fait 
rdfdrence contribuent effectivement, dans une certaine mesure, k I’objectif de 
transparence tout au long de la vie du compte et de l’utilisation des services de Google. 
Cependant, la formation restreinte considdre qu’ils ne participent pas de maniere 
suffisante a l’information prdvue par Particle 13, qui doit intervenir « au moment oil les 
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donnees en question sont obtenues ». Ainsi que Pont rappele les lignes directrices du 
CEPD sur la transparence, l’article 13 indique les informations k foumir aux personnes 
concernees « des la phase de commencement du cycle de traitement ». 

123. Si des donnees autres que celles strictement ndcessaires a la cr6ation du compte, sont 
collectees tout au long de la vie du compte, telles que l’historique de navigation ou des 
achats, le moment de sa creation marque Pentr6e de Putilisateur dans l’ecosysteme des 
services Google, dont le caractere particulidrement massif et intrusif des traitements a 
ete rappeld pr6c6demment. Cette 6tape marque le d6but d’une multitude d’op6rations 
de traitements : collecte, combinaison, analyse etc. Par consequent, dans la mesure ou 
le processus de creation du compte est primordial dans Papprehension des traitements 
et de leur impact et ou le parcours utilisateur propose invite lui-meme la personne 
concemee a concentrer tout particulierement son attention k ce stade, Pinformation 
pr6vue a Particle 13 du Reglement qui intervient a ce moment doit, par elle-meme, etre 
suffisante au regard des exigences resultant de cette disposition ainsi que de Particle 12 
du meme rdglement. 

124. Au demeurant, tant la fenetre pop-up surgissant au moment de la creation du compte 
que le message electronique envoy6 des la creation du compte ne contiennent que des 
informations sommaires ou tres ciblees sur les traitements mis en oeuvre et ne sauraient 
permettre de regarder Pinformation pr6alable comme suffisante. 


125. Le texte de la fenetre pop-up indique en effet « Ce compte Google est configure pour 
inclure des fonctionnaliUs de personnalisation (telles que les recommandations et les 
annonces personnalisees) qui sont basees sur les informations enregistries dans votre 
compte ». Le message electronique indique quant k lui les principals fonctionnalites 
du compte Google et l’existence d’outils de controle. 

126. S’agissant de Poutil « check-up confldentialite » celui-ci permet essentiellement a 
Putilisateur de param6trer les informations collect6es tels que l’historique de 
navigation ou des lieux fr6quent6s. Enfin, le « Dashboard » consiste en un panneau 
d’information regroupant pour chaque service Google un aper?u des habitudes 
d’utilisation du titulaire du compte. 

127. Neanmoins, ces outils « check-up confldentialite » et « Dashboard » ne sont 
mobilisables, tout comme d’ailleurs le message 61ectronique mentionn6 ci-dessus, que 
posterieurement k l’etape de creation du compte, laquelle est pourtant primordiale pour 
l’information des utilisateurs ainsi qu’il a et6 dit. En outre, bien que leur existence et 
leur intSret soient portes k la connaissance des utilisateurs, ils supposent une demarche 
active et d’initiative de ceux-ci. Pour ces raisons, ces outils ne permettent pas de 
considerer qu’une information suffisante est delivree pour l’application de Particle 13 
du Riglement. 

128. Au regard de l’ensemble de ces 616ments, la formation restreinte considere 
qu’un manquement aux obligations de transparence et d’information telles que 
prevues par les articles 12 et 13 du Reglement est caracteris£. 
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5. Sur le manquement a l’obligation de disposer d’une base 16gale pour les 
traitements mis en oeuvre 

129. L’article 6 du RGPD dispose que : « Le traitement n'est licite que si, et dans la 
mesure ou, au moins une des conditions suivantes est remplie: 

a) la personne concernie a consenti au traitement de ses donnees a caractere 
personnel pour une ou plusieurs finalites specifiques; 

b) le traitement est necessaire a {'execution d'un contrat auquel la personne 
concernee est partie ou h I'exicution de mesures pr&contractuelles prises a la 
demande de celle-ci; 

c) le traitement est necessaire au respect d'une obligation legale a laquelle le 
responsable du traitement est soumis; 

d) le traitement est necessaire d la sauvegarde des interets vitaux de la personne 
concernee ou d'une autre personne physique; 

e) le traitement est necessaire a l 1 execution d'une mission d'interet public ou 
relevant de I'exercice de I'autoriti publique dont est investi le responsable du 
traitement; 

f) le traitement est necessaire aux fins des interets legitimes poursuivis par le 
responsable du traitement ou par un tiers, a moins que ne prevalent les interets 
ou les libertes et droits fondamentaux de la personne concernee qui exigent 
une protection des denudes a caractere personnel, notamment lorsque la 
personne concernee est un enfant». 

130. H etait reproch6 & la society de ne pas recueillir valablement le consentement des 
personnes pour les traitements de personnalisation de la publicity. D 6tait egalement 
consid6re que la society ne pouvait se prevaloir d’un interet legitime pour ces memes 
traitements. 

131. En defense, la soci6t6 precise qu’elle se fonde uniquement sur le consentement pour 
les traitements de personnalisation de la publicit6. 

132. L’article 4 (11) du Riglement susvise precise ce que Ton entend par consentement: 

« toute manifestation de volonte, libre, spicifique, iclairee et univoque par laquelle la 
personne concernee accepte, par une declaration ou par un acte positif clair, que des 
donnies a caractere personnel la concernant fassent Vobjet d'un traitement ». 

133. L’article 7 de ce mSme texte pr6voit les conditions qui lui sont applicables : 

«1. Dans les cas oil le traitement repose sur le consentement, le responsable du 
traitement est en mesure de demontrer que la personne concernie a donne son 
consentement au traitement de donnees a caractere personnel la concernant. 

2. Si le consentement de la personne concernee est donne dans le cadre d'une 
declaration ecrite qui concerne egalement d'autres questions, la demande de 
consentement est prdsentee sous une forme qui la distingue clairement de ces autres 
questions, sous une forme comprehensible et aisement accessible, et formulee en des 
termes clairs et simples. Aucune partie de cette declaration qui constitue une violation 
du present reglement n'est contraignante. 
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3. La personne concemee a le droit de retirer son consentement a tout moment. Le 
retrait du consentement ne compromet pas la liceite du traitement fonde sur le 
consentement effectue avant ce retrait. La personne concemee en est informee avant 
de donner son consentement. II est aussi simple de retirer que de donner son 
consentement. 

4. Au moment de determiner si le consentement est donne librement, il y a lieu de tenir 
le plus grand compte de la question de savoir, entre autres, si Vexecution d'un control, 
y compris lafourniture d’un service, est subordonnee. » 

134. En premier lieu, la societe affirme que le consentement des utilisateurs est eclaire. 

135. Elle estime que des informations simples et claires sont presentees a l’utilisateur lors 
de la creation d’un compte et lui permettent d’avoir connaissance de la maniere dont la 
soci&e utilise les donnees a des fins de personnalisation de la publicity. La societe fait 
notamment reference au resume intitule «Regies de confldentialite et conditions 
d utilisation », aux sections dediees a la personnalisation des annonces contenues dans 
les Regies de confldentialite ainsi qu’au message d’information additionnelle intitule 
« Personnalisation de la publicite » apparaissant dans les options de parametrage de 
creation du compte. 


136. En secon d lieu, la societe affirme que le consentement des utilisateurs est specifique 
et univoque. 

137. Elle fait notamment valoir que lors du parametrage du compte, l’utilisateur a la 
possibility de faire un choix quant a I’affichage de la personnalisation de la publicite. 
Elle estime que cette possibility lui permet d’exprimer son consentement sur 
^utilisation de ses dornides independamment des autres choix qu’il peut exprimer 
s’agissant des autres finalites relatives aux traitements associes au compte Google (ex. 
historique des recherches YouTube). 

138. Elle considere par ailleurs que les modalites de recueil du consentement a des fins de 
personnalisation des annonces qu elle met en place sont conformes aux 
recommandations de la CNIL du 5 dycembre 2013 en matiere de cookies. Elle precise 
notamment que sont disponibles des informations succinctes sur la personnalisation des 
annonces suivies par un bouton "j'accepte" (les Regies de confldentialite et les 
Conditions d utilisation), precede par un bouton ’’plus d'options” qui donne aux 
utilisateurs la possibility de desactiver plusieurs operations de traitement, y compris a 
des fins de personnalisation des annonces. 

139. Elle soutient egalement que la solution admise dans la mise en demeure publique de 
la prdsidente de la CNIL n° MED-2018-023 du 29 novembre 2018 permet a 
1 utilisateur de consentir a 1 ensemble des finalitys via un bouton « tout accepter », 

140. Enfin, elle estime qu’un consentement explicite pour le traitement de donnees a des 
fins de personnalisation de la publicite, au sens du a) du 2 de Particle 9 du RGPD, ne 
pourrait etre exige des lors qu’il ne s’agit pas de donnees sensibles. 
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141. En ce uui conceme le caractfere eclaire 


142. Au prealable, la formation restreinte precise que ce caractere eclaire doit etre 
examine a la lumiere des developpements precedents concemant le defaut de 
transparence et d’information des utilisateurs lors de la crdation de leur compte. Elle 
considdre en effet que les manquements prdcedemment identifies ont n6cessairement 
une incidence sur l’information ddlivrde aux utilisateurs pour assurer le caractere 
eclaire du consentement. 

143. La formation restreinte indique que les lignes directrices du CEPD du 10 avril 2018 
sur le consentement au sens du Reglement 2016/679 (WP250) pr6cisent: «le 
responsable du traitement doit s'assurer que le consentement est fourni sur la base 
d’informations quipermettent auxpersonnes concernees d'identifier facilement qui est 
le responsable des donndes et de comprendre ce a quoi elles consentent. [II] doit 
clairement decrire la finalite du traitement des donndes pour lequel le consentement est 
sollicitd ». 

144. Ces lignes directrices precisent egalement que: « Pour que le consentement soit 
eclaire, il est ndcessaire d ’informer la personae concernde de certains elements 
cruciaux pour operer un choix. [..] Au moins les informations suivantes sont 
necessaires afin d'obtenir un consentement valable : 

(i) l ’identite du responsable du traitement, 

(ii) la finalite de chacune des opdrations de traitement pour 
lesquelles le consentement est sollicitd, 

(Hi) les (types de) donndes collectdes et utilisees, 

(iv) l ’existence du droit de retirer son consentement, 

(v) des informations concemant l’utilisation des donndes pour la 
prise de ddcision automatisee [..] et 

(vi) des informations sur les risques eventuels lids a la transmission 
des donndes en raison de l’absence de ddcision d’addquation et 
de garanties appropriees [...] », 

145. Comme elle a pu le relever au titre du manquement aux obligations de transparence 
et d’information, la formation restreinte considdre que l’information sur les traitements 
de personnalisation de la publicity est excessivement dissdminde dans des documents 
distincts et qu’elle n’est, a ce titre, pas aisdment accessible. A cet egard, la formation 
restreinte renvoie aux developpements precedents sur les multiples actions qui doivent 
etre faites par un utilisateur qui souhaite prendre connaissance des informations 
disponibles sur les traitements lids k la personnalisation de la publicitd. 

146. En outre, comme cela a egalement ete releve au titre du manquement aux obligations 
de transparence, 1’information foumie n’est pas suffisamment claire et comprehensible 
en ce qu’il est difficile pour un utilisateur d’avoir une apprehension globale des 
traitements dont il peut faire l’objet et de leur portde. 

147. A titre d’illustration, l’information diffusde dans la rubrique « Personnalisation des 
annonces », accessible depuis le document « Regies de confidentialitd et conditions 
d’utilisation » via le bouton « Plus d’options », contient la mention suivante : « Google 
peut vous prdsenter des annonces en fonction de votre activite au sein de services 


23 



Google (dans la recherche ou sur YouTube par exemple, ainsi que sur les sites Web et 
les applicationspartenaires de Google) ». La formation restreinte relive qu’il n’est pas 
possible de prendre connaissance, par exemple par le biais de liens cliquables, des 
services, sites et application de Google auxquels la societe fait reference. Dds lors, 
1’utilisateur n’est pas en mesure de comprendre les traitements de personnalisation de 
la publicity dont ils font l’objet, ainsi que leur port6e, alors meme que ces traitements 
impliquent pourtant une plurality de services (par exemple : Google search, YouTube, 
Google home, Google maps, Playstore, Google photo, Google play, Google analytics, 
Google traduction, Play livres) et le traitement de tres nombreuses donnees a caractere 
personnel. Les utilisateurs ne sont pas en mesure d’avoir une juste perception de la 
nature et du volume des donndes qui sont collect6es. 

148. Au vu de ces elements, la formation restreinte considere que le consentement des 
utilisateurs pour les traitements de personnalisation de la publicity n’est pas 
suffisamment 6clair6. 

149. S’aaissant du caractere snScifigue et univoaue du consentement 

150. Le consid6rant 32 du Reglement prevoit que : « Le consentement doit etre donne par 
un acte positif clair par lequel la personne concernee manifeste de faqon libre, 
specifique, eclairee et univoque son accord au traitement des donnees a caractere 
personnel la concernant [...]. LI ne saurait des lors y avoir de consentement en cas de 
silence, de cases cochees par defiant ou d’inactivity ». 


151. Le considerant 43 du RGPD precise que : « Le consentement est presume ne pas 
avoir ete donnd librement si un consentement distinct ne peut pas etre donne a 
dififierentes operations de traitement des donnies a caractere personnel bien que cela 
soit approprid dans le cas d’espdce ». 


152. Les lignes directrices du CEPD sur le consentement susvisees precisent que : «Afin 
de se conformer au caractere « specifique » du consentement, le responsable du 
traitement doit garantir : [...] (ii) le caractere detailli des demandes de consentement 
[...] Cela signifie qu’un responsable du traitement qui sollicite le consentement pour 
diverses finalites spdcifiques devrait prevoir un consentement distinct pour chaque 
finalitd afin que les utilisateurs puissent donner un consentement specifique a des 
finalites specifiques ». 

153. En l’espdce, la formation restreinte relive que lorsque 1’utilisateur cr6e un compte, il 
a la possibility de modifier certains des param£tres associ£s au compte. Pour accdder a 
ces parametres, l’utilisateur doit cliquer sur le bouton « plus d’options », present avant 
le bouton « Creer un compte ». La formation restreinte relive par ailleurs que les 
parametres de personnalisation du compte, qui contiennent le choix en matiere 
d’affichage des annonces personnalisdes, sont pre-coch6s par d6faut, ce qui traduit, 
sauf action contraire, l’accord de l’utilisateur au traitement de ses donnees pour les 
finalites mentionn6es (ex. historique des recherches YouTube, affichage des annonces 
personnalisees etc.). L’utilisateur a la possibility de dycocher ces parametres s’il ne 
souhaite pas que ces traitements soient mis en oeuvre. 
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154. La formation restreinte observe que, au moment de la creation du compte, si 
l’utilisateur ne clique pas sur le bouton « plus d’options » afin de parameter son 
compte, il doit cocher les cases «j’accepte les conditions d ’utilisation de Google » et 
« j’accepte que mes informations soient utilisees telles que dicrit ci-dessus et detaillees 
dans les regies de confidentiality ». Par la suite, il doit appuyer sur le bouton « Crier 
un compte ». Une fendtre surgissante apparait, intitulee « Simple confirmation » qui 
contient le texte suivant «Ce compte Google est configuri pour inclure des 
fonctionnalites de personnalisation (telles que les recommandations et les annonces 
personnalisdes »), qui sont basics sur les informations enregistrees dans votre compte. 
Pour modifier vos parametres de personnalisation et les informations enregistrees 
dans votre compte, silectionnez « Plus d’options » ». 

155. S’il ne clique pas sur « Plus d’options », l’utilisateur doit alors selectionner le bouton 
« Confirmer » pour finaliser la creation du compte. 

156. Au vu de ce qui precede, la formation restreinte releve que si l’utilisateur a la 
possibility de modifier la configuration des parametres de son compte pr6alablement k 
sa cr6ation, une action positive de sa part est necessaire pour acc6der aux possibility 
de paramdtrage du compte. Ainsi, l’utilisateur peut tout k fait creer son compte, et 
accepter les traitements qui y sont li6s, notamment les traitements de personnalisation 
de la publicity, sans cliquer sur « Plus d’options ». Par consequent, le consentement de 
l’utilisateur n’est, dans ce cas de figure, pas valablement recueilli dans la mesure ou il 
n’est pas donny par le biais d’un acte positif par lequel la personne consent 
spydfiquement et distinctement au traitement de ses donnyes a des fins de 
personnalisation de la publicity par rapport aux autres finalitys de traitement. 

157. La formation restreinte considere en outre que les actions par lesquelles l’utilisateur 
procdde a la creation de son compte - en cochant les cases « j 'accepte les conditions 
d’utilisation de Google » et« j'accepte que mes informations soient utilisies telles que 
decrit ci-dessus et detaillees dans les regies de confidentiality », puis en selectionnant 
« Creer un compte » - ne sauraient etre considyr6es comme 1’expression d’un 
consentement valable. Le caractyre spycifique du consentement n’est pas respecty 
puisque l’utilisateur, par ces actions, accepte « en bloc »l’ensemble des traitements de 
donnees a caractere personnel mis en oeuvre par la societe, y compris k ceux de 
personnalisation de la publicity. 

158. Par ailleurs, la formation restreinte releve que lorsqu’il clique sur « Plus d’options » 
pour acceder A la configuration des paramAtres de son compte, ceux-ci, et notamment 
celui relatif a l’affichage des annonces personnalisyes, sont tous pry-coches par dyfaut. 
Aussi, la possibility laissye aux utilisateurs de paramytrer leur compte ne se traduit pas 
non plus, dans ce cas de figure, par un acte positif ayant pour objet de recueillir le 
consentement, mais par une action ayant pour objet de permettre l’opposition au 
traitement. 

159. La formation restreinte relAve enfin que cette analyse est corroborye par les lignes 
directrices du G29 sur le consentement qui precisent que: « Un responsable du 
traitement doit egalement etre conscient que le consentement ne peut etre obtenu 
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moyennant la meme action que lorsqu ’une personae concernee accepte un contrat ou 
les conditions generates d'un service. [,.]Le RGPD n’autorise pas les responsables du 
traitement a proposer des cases cochees par difaut ou des options de refits necessitant 
une action de la personae concernee pour signaler son refits (par exemple des « cases 
de refits ») ». 


160. La formation restreinte observe k ce titre que, si certains parcours utilisateurs peuvent 
inclure une fonctionnalit£ permettant a Putilisateur de consentir de manure mutualisee 
au traitement de ses donndes pour diff6rentes finalites proches, cette facility ne peut 
etre consid6r6e comme conforme que si les difffirentes finalites de traitement lui ont 6t6 
pr6sent6es de manure distincte au prdalable et qu’il a et6 en mesure de donner un 
consentement specifique pour chaque finality, par un acte positif clair, les cases n’ytant 
pas pr6-cochees. Pour que ce type de parcours utilisateurs puisse etre consid6r6 comme 
conforme, la possibility de donner un consentement specifique pour chaque finalite doit 
etre offerte aux personnes avant la possibility de « tout accepter », ou de « tout 
refuser », et ce sans qu’elles aient a faire d’action particuliere pour y accyder, comme 
cliquer sur « plus d’options ». Au vu de ce qui prycyde, la formation retreinte considere 
que ce type de parcours utilisateurs offre des garanties differentes de celles proposees 
en l’espyce, ce parcours permettant k l’utilisateur de consentir spycifiquement et 
distinctement au traitement de ses donn6es pour une finality d6terminye, par un acte 
positif clair, et cette possibility lui ytant offerte immydiatement et prealablement a la 
fonctionnality « tout accepter ». 

161. Des lors, en Pespyce, en ytant autorisys et masquys «par dyfaut», les traitements de 
personnalisation de la publicity ne sauraient etre considyrys comme ayant yt6 acceptes 
par l’utilisateur par un acte positif spycifique et univoque. 


162. En deuxieme lieu, si la sociyte soutient que les modalitys de recueil du consentement 
a des fins de personnalisation des annonces qu’elle met en place sont conformes aux 
recommandations de la CNIL du 5 dycembre 2013 en matiere de cookies, la formation 
restreinte rappelle que les r6gles spycifiquement applicables en mature de cookies li6s 
aux operations relatives k la publicity cibiye sont fixees par les dispositions distinctes 
de Particle 32-11 de la loi informatique et libertys, resultant de la transposition de la 
directive ePrivacy du 12 juillet 2002 (modifiye par la directive 2009/136/CE). 
L’invocation de la recommandation du 5 dycembre 2013 est par suite, et en tout ytat de 
cause, inoperante. 


163. En troisieme lieu , contrairement £ ce que soutient Google, les exigences posees en 
matiere de recueil du consentement ne visent pas k instaurer un regime de 
consentement qui serait plus protecteur que celui imposy par le RGPD et qui serait, 4 
tort, dyfini au regard des crityres imposes pour le recueil du consentement applicable en 
matiyre de traitement des donnyes personnelles dites « sensibles ». 


164. La formation restreinte releve que les modalitys d’expression du consentement ont 
ety precisyes et definies par Particle 4 (11) du Ryglement, qui indique que l’on entend 
par consentement : « toute manifestation de volonte, libre, specifique, eclairee et 
univoque par laquelle la personae concernee accepte, par une declaration ou par un 
acte positif clair, que des donnees a caractere personnel la concernant f assent I’objet 
d'un traitement ». 
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165. Ces memes modalites d’expression du consentement s’appliquent de la meme 
maniere, que le consentement soit recueilli, au titre de 1’article 6 du RGPD, pour la 
mise en oeuvre d’un traitement pour une finality sp6cifique, ou qu’il soit recueilli, en 
application de 1’article 9 du RGPD, pour lever l’interdiction de principe pos6e au 
traitement de donnees k caractere personnel dites « sensibles ». 

166. Par consequent, pour pouvoir etre consid6r6 comme valable, le consentement 
recueilli doit etre une manifestation volonte specifique, eclairee et univoque ce qui, 
comme la formation restreinte l’a releve pr6c6demment, n’est pas le cas en l’esp£ce. 

167. Au vu de l’ensemble de ces elements, la formation restreinte considere que le 
consentement sur lequel se fonde la society pour les traitements de 
personnalisation de la publicity n’est pas valablement recueilli. 


III. Sur la sanction et la publicity 

168. L’article 45-III 7° de la loi du 6 janvier 1978 dispose : « Lorsque le responsable de 
traitement ou son sous-traitant ne respecte pas les obligations resultant du reglement 
(UE) 2016/679 du Parlement europeen et du Conseil du 27 avril 2016 precite ou de la 
presente loi, le president de la Commission nationale de I’informatique et des libertis 
peut igalement, le cas ichiant apres lui avoir adresse l ’avertissement prevu au I du 
present article ou, le cas ichiant en complement d’une mise en demeure privue au II, 
saisir la formation restreinte de la commission en me du prononce, apres procedure 
contradictoire, de I’une ou de plusieurs des mesures suivantes:[...] : 7° A l'exception 
des cas ou le traitement est mis en oeuvre par I’Etat, une amende administrative ne 
pouvant excider 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre 
d’affaires annuel mondial total de Vexercice precedent, le montant le plus ilevi etant 
retenu. Dans les hypotheses mentionnees aux 5 et 6 de l’article 83 du reglement (UE) 
2016/679 du Parlement europeen et du Conseil du 27 avril 2016 preciti, ces plafonds 
sont portis, respectivement, a 20 millions d’euros et 4 % dudit chiffre d’affaires. La 
formation restreinte prend en compte, dans la ditermination du montant de Vamende, 
les entires pricisis au meme article 83. » 

169. La society considere qu’une amende administrative d’un montant de 50 millions 
d’euros est disproportionnee. 


170. Elle relive qu’une mise en demeure lui aurait permis d’entreprendre une d6marche 
de mise en conformity et qu’il n’apparait pas que le prononc6 direct d’une amende 
administrative constitue la mesure correctrice la plus adequate. 

171. Elle considdre en outre que les entires fix6s k Particle 83 du RGPD n’ont pas tous 
6te pris en compte dans 1’6valuation de l’amende propos6e. Sur ce point, elle fait 
notamment reference k 1’impossibility de prendre des mesures correctrices en raison de 
l’absence de mise en demeure prealable. 
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172. La societe fait ensuite valoir l^faible nombre d’utilisateurs concemes par les 

manquements et indique que sur pers onnes qui configurent un appareil sous le 

systeme d’exploitation Android par jour, seul personnes creentun compte. 

173. Tout d ’a bord , la formation restreinte releve qu’en vertu de rarticle 45 susvise issu de 
la loi n° 2018-493 du 20 juin 2018, le President de la CNIL dispose de P opportunity 
des poursuites et peut done choisir, en fonction des circonstances de Pesp6ce, les suites 
a apporter a des investigations en cloturant un dossier, en pronon^ant une mise en 
demeure ou en saisissant la formation restreinte en vue du prononce d’une ou plusieurs 
mesures correctrices, sans qu’il appartienne au demeurant a cette demiere de se 
prononcer sur P orientation choisie par le President. La formation restreinte, ainsi saisie, 
est alors pleinement competente pour se prononcer sur la materialite et la qualification 
des faits, puis pour apprecier si les manquements qu’elle aurait caracterises justifient, 
dans son principe meme, le prononce de Tune des mesures correctrices mentionnees au 
III de Particle 45 de la loi du 6 janvier 1978 et, enfin, pour se prononcer sur le montant 
d’une eventuelle amende. 

174. En outre , la formation restreinte rappelle que si une administration, dans le cas ou 
une decision est prise au regard d’un ensemble de entires prevus par un texte, doit tenir 
compte de l'ensemble de ces criteres, elle n’est pas tenue dans la motivation de sa 
decision de se prononcer sur chacun d’entre eux mais peut se limiter a mentionner ceux 
qu'elle estime pertinents et les elements de fait correspondants. 

175. Dans le cas d’espece, la formation restreinte estime que les faits et manquements 
pr£cites justifient que soit prononcee une amende administrative a Pencontre de la 
societe pour les motifs suivants. 

176. En premier lieu , la formation restreinte tient k souligner la nature particuliere des 
manquements relev6s k la liceite du traitement et aux obligations de transparence et 
d’information. En effet, Particle 6 du RGPD - qui definit limitativement les cas de 
liceite d’un traitement - est une disposition centrale de la protection des donnees 
personnelles en ce qu’elle ne permet la mise en oeuvre d’un traitement que si Pune des 
six conditions listees est remplie. Les obligations de transparence et d’information sont 
egalement essentielles en ce qu’elles conditionnent Pexercice des droits des personnes 
et leur permettent done de garder le controle sur leurs donnees. A cet egard, tant 
Particle 6 que les articles 12 et 13 figurent parmi les dispositions dont la 
meconnaissance est la plus severement sanctionnee au 5. de Particle 83 du RGPD. 


177. La formation restreinte considere ainsi que les obligations prevues en termes de 
transparence et de bases juridiques constituent des garanties fondamentales permettant 
aux personnes de garder la maitrise de leurs donnees. La meconnaissance de ces 
obligations essentielles apparait des lors particulierement grave, du fait de leur seule 
nature. 


178. En deuxieme lieu , la formation restreinte note que les manquements retenus 
perdurent a ce jour et sont des violations continues du Reglement. II ne s’agit ni d’une 
meconnaissance ponctuelle de la societe a ses obligations, ni d’une violation habituelle 
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a laquelle le responsable du traitement aurait mis fin spontanement depuis la saisine de 
la formation restreinte. 

179. En troisidme lieu , la gravity des violations est 4 apprecier au regard notamment de la 
finalitd des traitements, de leur portde et du nombre de personnes concemees. 


180. A cet dgard, la formation restreinte reldve que si, selon la societd, le scenario retenu 
pour les investigations en ligne menses par la CNIL correspond directement a 
seulement 7% de ses utilisateurs, le nombre de personnes ainsi concemees est, par lui- 
meme, particulierement important. Elle rappelle en outre que les utilisateurs qui 
configureraient leur mobile sous Android en y associant un compte ddj4 existant se 
trouvent, s’agissant des documents qui leurs sont communiques et done des violations 
retenues au Rdglement, dans une situation analogue 4 ceux errant pour la premiere fois 
un compte, ce que la societe n’a pas contestd dans son courrier du 7 ddeembre 2018. 

181. En outre, la formation restreinte rappelle que la socidte met en place des traitements 
de donnees d’une ampleur considerable compte tenu de la place preponddrante 
qu’occupe le systdme d’exploitation Android sur le marche fran 9 ais des systemes 
d’exploitation mobiles et de la proportion de recours aux ordiphones par les utilisateurs 
de telephones en France. Ainsi, les donn6es de millions d’utilisateurs sont traitees par 
la socidte dans ce cadre. 

182. Les traitements converts par la politique de confidentialite presentde 4 l’utilisateur 
lors de la creation de son compte - 4 1’occasion de la configuration de son telephone 
mobile sous Android - apparaissent egalement d’une envergure considerable au regard 
du nombre de services impliques - a minima une vingtaine - et de la vari6te des 
donn6es traitees via ou en lien avec le systdme d’exploitation Android. Outre les 
donnees foumies par l’utilisateur lui-meme lors de la creation du compte et de 
l’utilisation du systeme d’exploitation, la formation restreinte rappelle qu’une 
multitude de donnees issues de son activite est 6galement generde telle que l'historique 
de navigation web, l'historique d'usage des applications, la geolocalisation de 
l'equipement, les achats etc. De meme, des donnees sont deduites d’informations 
foumies par la personne concemee ou son activite, notamment dans le cadre de la 
personnalisation des annonces. II s’agit done d’informations nombreuses et 
particulierement eclairantes sur les habitudes de vie des personnes, leurs opinions et 
interactions sociales. Partant, les donn6es trait6es par la socidte touchent au plus prds 
leur identitd et leur intimite. 

183. De plus, la formation restreinte note que des multiples proeddds technologiques sont 
utilisds par la socidte afin de combiner et analyser des donndes provenant de diffdrents 
services, applications ou sources extemes. Ils ont inddniablement un efifet 
multiplicateur quant 4 la connaissance prdcise que la societe a de ses utilisateurs. 


184. En consdquence, la formation restreinte estime que la socidtd dispose d’operations de 
combinaisons au potentiel quasi illimitd permettant un traitement massif et intrusif des 
donndes des utilisateurs. 
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185. Compte tenu de la portae des traitements de donnfees - notamment celui de 
personnalisation de la publicity - et du nombre de personnes concemees, la formation 
restreinte souligne que les manquements prdcedemment retenus revetent une 
particuliere gravity. Un defaut de transparence concemant ces traitements d’ampleur, 
tout comme Tune absence de consentement valide des utilisateurs au traitement de 
personnalisation de la publicity constituent des atteintes substantielles a la protection de 
leur vie priv6e et se situent a contre-courant des aspirations legitimes des personnes 
souhaitant conserver la maitrise de leurs donnees, 

186. A cet egard, le renforcement des droits des personnes est l’un des axes majeurs du 
Reglement. Le legislateur europ6en rappelle que « VEvolution rapide des technologies 
et la mondialisation ont crEe de nouveaux enjeux pour la protection des donnees a 
caractEre personnel. L'ampleur de la collecte et du portage de donnees a caractere 
personnel a augmente de maniere importante. Les technologies permettent tant aux 
entreprises privees qu'aux autorites publiques d'utiliser les donnEes a caractere 
personnel comme jamais auparavant dans le cadre de leurs activites (...) Les 
technologies ont transformE & la fois I'economie et les rapports sociaux » (considerant 
6). II souligne ainsi que « ces Evolutions requierent un cadre de protection des donnees 
solide (...) assorti d'une application rigoureuse des rEgles, car il importe de susciter la 
confiance qui permettra a I'Economie numErique de se dEvelopper dans Vensemble du 
marche interieur. Les personnes physiques devraient avoir le controle des donnees a 
caractere personnel les concemant. » (considerant 7). Le legislateur europeen regrette, 
enfin, que la directive 95/46/CE n’ait pas permis d’eviter « le sentiment, largement 
repandu dans le public, que des risques importants pour la protection des personnes 
physiques subsistent, en particulier en ce qui concerne Venvironnement en ligne. » 
(considerant 9). 

187. La formation restreinte considSre, ainsi, au regard de l’ampleur des traitements 
deploySs et de la n6cessit6 imp£rieuse pour les utilisateurs de garder la maitrise de leurs 
donnees, que ceux-ci doivent etre mis en situation d’etre suffisamment informds de la 
portee des traitements mis en ceuvre et d’y consentir valablement, sauf k priver de base 
la confiance dans l’6cosyst£me numirique. 

188. En uuatrieme lieu , la formation restreinte tient 4 souligner que les manquements 
doivent etre mis en perspective au regard du module economique de la society en 
particulier de la place du traitement des donn6es des utilisateurs k des fins publicitaires 
via le systeme d’exploitation Android. Compte tenu des avantages qu’elle retire de ces 
traitements, la soci6t6 doit apporter une attention toute particuliere k la responsabilitS 
qui lui incombe au titre du RGPD dans leur mise en ceuvre. 

189. II resulte de tout ce qui precede et des entires dont il a ete dument tenu compte par la 
formation restreinte, au vu du montant maximum encouru etabli sur la base de 4% du 
chiffre d’affaires indique au point 2 de la pr£sente decision, qu’une sanction p£cuniaire 
est justifiee a hauteur de 50 millions d’euros, ainsi qu’une sanction compldmentaire de 
publicity pour les memes motifs. 
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190. II est egalement tenu compte de la place preponderate occup6e par la societe sur le 
march6 des syst^mes d’exploitation, de la gravity des manquements et de l’interet que 
represente la pr6sente decision pour l’information du public, dans la determination de 
la duree de sa publication. 


PAR CES MOTIFS 

La formation restreinte de la CNIL, apres en avoir d61iber6, decide : 

de prononcer & l’encontre de la soci£te Google LLC, une sanction pecuniaire 
d’un montant de 50 (cinquante) millions d’euros ; 

d’adresser cette decision & la societe Google France SARL en vue de l’execution 
de cette decision ; 

- de rendre publique sa deliberation, sur le site de la CNIL et sur le site de 
Legifrance, qui sera anonymisee & l’expiration d’un deiai de deux ans & compter 
de sa publication. 


Le President 


c 

Jean-Fran 9 ois CARREZ 


Cette decision peut faire l’objet d’un recours devant le Conseil d’Etat dans un deiai de quatre ' 
moi s k compter de sa notification. __I 
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